多様化するサイバー攻撃は、いずれの企業にとっても悩みの種であることは間違いない。セキュリティに対する考え方はさまざまあるが、今後、自社の持つシステムやデータを守っていく上で、どのような視点を持つべきなのか。

9月27日、28日に開催された「TECH+ セキュリティ2022」では、トライコーダ 代表取締役で、OWASP(Open Web Application Security Project)Japanの代表を務める上野宣氏が登壇。「境界型防御からゼロトラストまで破るペネトレーションテストとは」と題した講演を行い、境界型セキュリティの問題点、ペネトレーションテストの有効性、認証仕様の考え方などについて解説した。

セキュリティ対策の総合力を確かめるペネトレーションテスト

ペネトレーションテストとは、ハッキング技術を駆使して調査対象のシステムに侵入を試み、セキュリティ対策の総合力を確かめるテストを指す。システムを攻撃する上で侵入口となる脆弱性を網羅的に検出する脆弱性診断に対して、ペネトレーションテストではメールに記載されたURLや添付ファイルを起点とした侵入なども含むより実践的な攻撃手法を想定し、セキュリティ強度や侵入された場合の被害レベルなどを調査する。つまり、明確な意図を持った攻撃者がその目的を達成することが可能か否かを、攻撃者と同じ立場から検証するものだ。

  • ペネトレーションテストの概要

「ペネトレーションテストを通じて、何のためにセキュリティ対策を行っているのか、本来守るべきもののために実施している対策が総合的に機能しているのかを確かめることができます。現実の脅威は、皆さんが想定している脅威よりも複雑でレベルが高いものです。(ペネトレーションテストによって)実施している対策の効果はもちろん、見当違いの対策や無駄な対策、本来必要でありながら見逃されている対策などをあぶり出せます」(上野氏)

境界型セキュリティは破られる

従来型の社内システム環境といえば、主にオンプレミスで構築されており、境界型セキュリティによるネットワーク分離タイプが多かった。データはPCのローカルディスクに保存し、アンチウイルスソフトウエアやEDR(Endpoint Detection and Response)、ログ監視などを行うというのが一般的な構成だ。これに対して上野氏は、「境界型セキュリティは破られる」と断言する。侵入方法としては、遠隔操作を目的として「RAT(Remote Administration Tool/Remote Access Tool)」を内部ネットワークの端末にインストールする手法があり、これを達成することが攻撃者の初期侵入時の目標となる。端末にインストールされたRATは、外部から遠隔操作を行うための通信経路を確立するべくC2サーバ(Command and Control server)へアクセスする。この通信は通常のアクセスと見分けがつきにくく、大量の通信に紛れると発見は困難だ。